Coronavirus & cybersécurité
Les cyberattaques les plus répandues, indications pour les reconnaître et précautions pour les éviter
Les cybercriminels savent toujours comment gérer les circonstances, en changeant leurs méthodes d’action et en s’adaptant aux faiblesses qui se créent. Plus la possibilité de lancer une cyberattaque est grande – qu’il s’agisse d’élections gouvernementales, de fêtes religieuses ou d’une alerte mondiale – plus la probabilité que les fraudeurs déploient tous les outils dont ils disposent pour exploiter la situation est élevée. Selon l’Organisation mondiale de la santé, les courriels malveillants envoyés en leur nom sont en double depuis début mars. Ce n’est là qu’un des exemples de cyberattaques en cours: en fait, de nombreux cybercriminels se présentent comme des organisations reconnues et de confiance pour tromper les utilisateurs.
Sur la base de la situation mondiale actuelle, les cyber-attaquants s’appuient sur l’ingénierie sociale, qui utilise des mots clés populaires tels que Coronavirus et COVID-19, pour les escroqueries en ligne, le phishing et les attaques de logiciels malveillants.
Forcepoint, en tant que leader mondial de la cybersécurité, la société de cybersécurité qui a d’abord appliqué l’approche révolutionnaire basée sur l’étude des comportements humains (centrés sur l’humain et basés sur le comportement) dans le monde de la sécurité informatique, a mené une analyse des menaces les plus répandues au niveau international, pour aider les utilisateurs à se reconnaître et à se protéger de manière consciente et ciblée.
Voici la liste issue de l’étude.
Les campagnes de phishing ont un objectif: inciter les gens à insérer des données sensibles ou des informations d’identification personnelles dans une fausse application ou sur un site Web « légitime ». Le premier élément considéré est un faux appel manqué lié à une mise à jour sur COVID-19. L’e-mail ne contient pas de texte, mais comporte une pièce jointe avec une extension.htm.
Exemple de courriel d’appel manqué
En y regardant de plus près, la pièce jointe est vraiment un simple fichier HTML, qui a pour seul but de diriger les gens vers une URL suspecte.
Pièce jointe HTML de l’e-mail d’appel manqué
Lors du chargement de la page Web, le titre de la fenêtre sera « Récupération du fichier audio », mais par la suite le lien dirigera l’utilisateur vers un faux portail Outlook. Le nom d’utilisateur sera déjà pré-rempli, seul le mot de passe attend d’être saisi. Malgré la similitude évidente, ce n’est pas le portail officiel d’Outlook: notez simplement l’URL étrange de la pièce jointe HTML avec l’adresse e-mail prédéfinie. Pour cette raison, il est très important de toujours vérifier la destination d’atterrissage avant de saisir des données sensibles.
Fausse page de destination Outlook avec nom d’utilisateur précompilé
Différents types de spam traditionnels
Tirer parti des superstitions et de la peur des gens est une technique éprouvée et très réussie, en particulier en ces temps, dans laquelle nous sommes confrontés à un événement de portée mondiale et de grand impact émotionnel. Les informations officielles, semi-officielles ou non officielles peuvent provenir de toutes les directions, et parmi celles-ci, il existe souvent de nombreux « canulars ».
- Comment renforcer notre système immunitaire?
- Quelles mesures prendre pour prévenir l’infection?
- Quels sont les moyens naturels de se défendre?
- Quels sont les meilleurs masques à porter en voyage?
Exemple de spam lié au Coronavirus
Ce ne sont là que quelques-unes des questions que tout le monde pose légitimement en ce moment, et il n’est pas facile de reconnaître les faux conseils de ce qui est vraiment valable et fiable. En fait, certaines des récentes campagnes de spam se sont concentrées sur cette technique: en profitant de l’intérêt pour ces problèmes, elles encouragent les gens à acheter, via des liens vers des services ou des sites frauduleux, un produit spécifique, ce qui devrait les aider à se protéger contre le coronavirus.
Spam de publicité pour un masque facial
Pour dissiper tous les doutes, il vous suffit de rechercher les mêmes produits sur des sites de marques renommées et pour toute réponse sur Coronavirus consultez les portails officiels. Des sources de santé mondiales, telles que l’OMS ou le CDC, peuvent aider à distinguer ce qui est réel de ce qui peut être nocif pour la santé et au-delà.
Exemple de spam d’amélioration de la santé
Les familles de malwares existantes prennent de nouvelles formes
Les exemples ci-dessus, mesurés en fonction du niveau de dommages qu’ils peuvent causer, appartiennent à des « catégories mineures » de menaces. Le cas sous-jacent, bien qu’il semble le plus véridique de tous, est potentiellement le plus dangereux.
Le courrier électronique, adressé aux Italiens pendant la période au cours de laquelle les cas signalés par le pays ont continué d’augmenter, semble provenir de l’Organisation mondiale de la santé (OMS) et encourage l’ouverture du document ci-joint, contenant toutes les précautions nécessaires contre Infections à coronavirus.
e-mail de fausses précautions de l’OMS adressé aux Italiens
En ouvrant le document Microsoft Word, l’écran suivant s’affiche, dans lequel les utilisateurs seront tenus de suivre les étapes indiquées pour activer les macros, sauf si les paramètres de sécurité par défaut qui leur sont liés ont déjà été modifiés.
pièce jointe Word malveillante qui nécessite une activation de macro
Il existe plusieurs macros dans le document et elles sont protégées par un mot de passe pour éviter qu’elles ne soient modifiées. Heureusement, il est possible de les modifier en parcourant l’Autoopen.
Contenu de la macro d’ouverture automatique
Dans Autoopen, il y a « DebugClassHandler » pour effectuer une numérisation automatique lorsque le document est ouvert. Une vérification approfondie révèle rapidement la libération de deux fichiers: « errorfix.bat » et « Ranlsojf.jse ». Le premier est un fichier de commandes standard destiné à ouvrir le second à l’aide de l’interpréteur de scripts Windows intégré.
Code source DebugClassHandler
Comme prévu, le « Ranlsojf.jse » supprimé est un fichier de script, en fait un JavaScript complexe et fortement obscurci. Ces fichiers appartiennent généralement à la famille des téléchargeurs Ostap, connue pour ses liens étroits avec TrickBot.
Fait partie du code JavaScript obscurci d’Ostap
S’il n’est pas identifié, à la fin de l’exécution, le code JavaScript atteindra un serveur C2 prédéfini pour le téléchargement d’autres charges utiles.
Coronavirus Themed Phishing, Malware, and Ransomware on the Rise – ThreatWire
Dans le cas examiné, le malware était une variante de l’infostealer TrickBot.En ce moment historique délicat, le souci et la nécessité d’une information continue peuvent conduire à baisser la garde, notamment face aux menaces en ligne. Les cybercriminels profitent de ces moments en jouant sur les peurs, dans l’espoir que les utilisateurs tomberont dans les arnaques qu’ils ont soigneusement étudiées. En général, chaque fois que vous recevez des e-mails relatifs à des événements liés à la vie réelle, il est important de garder la bonne clarté pour vérifier leur authenticité. Accorder une plus grande attention à la sécurité quotidiennement, évaluer soigneusement les informations reçues peut aider à atténuer l’impact des cyberattaques.
Les outils, techniques et procédures des cybercriminels restent essentiellement les mêmes; seul le thème a changé, car il s’est aligné sur l’actualité. Si elle est constamment mise à jour, la pile de sécurité Web et e-mail doit rester efficace contre ces menaces.
Emiliano Massa, Vice-président Forcepoint des ventes EMEA, déclare: «Bien que les entreprises tentent de plus en plus, même à travers des investissements importants, de réduire les risques informatiques, ces campagnes d’ingénierie sociale ou de phishing ciblées démontrent, une fois de plus, que garder les menaces en dehors du périmètre de l’entreprise est de plus en plus complexe. D’abord parce qu’il n’y a plus de périmètre à défendre (les utilisateurs sont le nouveau périmètre) et, d’autre part, parce que le facteur humain est toujours le maillon le plus critique de la chaîne d’approvisionnement. Alors que faire? L’adoption de dispositifs de sécurité Web et de messagerie doit rester efficace contre ces menaces, mais du point de vue de l’entreprise, l’approche la plus appropriée pour réduire les risques consiste à prendre en compte les menaces déjà présentes dans l’organisation.. Cela signifie concentrer leurs efforts sur une approche holistique de la protection des données, basée sur l’augmentation de la visibilité découlant de l’analyse du comportement des utilisateurs. Il est donc essentiel de définir une politique de sécurité et un programme de menaces internes, capables de gérer de manière efficace et proactive les principaux cas liés à la perte de données: Erreur humaine – Utilisateur compromis – Utilisateur malveillant « .
